问题描述
在我的 spring java 应用程序中,扫描工具显示拒绝服务漏洞:@H_678_1@modelattribute ("someFormBean") 的 ReadLine
@RequestMapping(method = RequestMethod.POST)
public String processForm(@Valid @modelattribute("someFormBean") MultipleForm form,/*Source*/
BindingResult bindingResult,Model model,HttpServletRequest request) {
return processForm(form,bindingResult,model);
}
什么意思?如何解决这个问题?
解决方法
看来这就是答案:https://vulncat.fortify.com/en/detail?id=desc.dataflow.abap.denial_of_service
引用:
代码从 zip 文件中读取字符串。因为它使用了 readLine() 方法,它将读取无限量的输入。攻击者可能 利用此代码导致 OutOfMemoryException 或 消耗大量内存使程序花费更多时间 在某些情况下执行垃圾收集或内存不足 后续操作。
可能你的扫描器知道(或认为它知道)这样的属性是如何在 Spring 中实现的,所以抛出这个检查警告。如果您可以添加任何详细信息:它是哪种扫描仪工具、它具有什么版本、哪些模块/配置设置等 - 更容易对这条消息进行推理。